Cybersecurity & Privacy

AI Act: quali sono i sistemi ad alto rischio?

Scritto da Cristiano Pastorello | Jul 2, 2026 9:21:06 AM

Uno dei concetti più importanti introdotti dall’AI Act riguarda la classificazione dei sistemi di Intelligenza Artificiale in base al livello di rischio.

Non tutte le AI vengono trattate allo stesso modo. 

Sarebbe assurdo applicare le stesse regole a un chatbot che suggerisce titoli per una newsletter e a un algoritmo che decide l’accesso a un mutuo, valuta candidati per un’assunzione o supporta diagnosi mediche.

L’Unione Europea ha quindi scelto un approccio “risk based”: più aumenta il rischio per persone, diritti e sicurezza, più aumentano gli obblighi normativi.

È un po’ come nel calcio: una partitella tra amici non richiede arbitri, VAR e controlli antidoping. Una finale europea invece sì. Più alta è la posta in gioco, maggiore deve essere il livello di controllo.

Cosa significa “alto rischio” nell’AI Act

I sistemi AI ad alto rischio sono quelli che possono incidere in modo significativo:

  • sui diritti fondamentali;
  • sulla sicurezza delle persone;
  • sull’accesso a servizi essenziali;
  • sulle opportunità lavorative;
  • sulla salute;
  • sulla giustizia.

Secondo l’AI Act, questi sistemi saranno soggetti agli obblighi più severi in termini di:

  • governance;
  • supervisione umana;
  • documentazione;
  • trasparenza;
  • cybersecurity;
  • controllo qualità.

I principali esempi di AI ad alto rischio

1. AI nelle risorse umane

Tra gli esempi più rilevanti troviamo:

  • software per screening CV;
  • sistemi di selezione automatica;
  • valutazioni algoritmiche dei dipendenti;
  • ranking dei candidati.

Qui il rischio è evidente: bias algoritmici, discriminazioni e decisioni opache possono influenzare direttamente il futuro professionale delle persone.

Un algoritmo che “taglia fuori” candidati senza trasparenza equivale a un arbitro che assegna rigori senza spiegazioni e senza VAR.

2. AI nella sanità

I sistemi AI utilizzati:

  • nella diagnostica;
  • nel supporto clinico;
  • nell’analisi immagini;
  • nelle decisioni terapeutiche

rientrano spesso nella categoria ad alto rischio.

La normativa italiana stessa enfatizza il ruolo centrale della decisione umana in ambito sanitario.

L’AI può supportare il medico, ma non sostituire completamente il controllo umano.

3. AI nel settore finanziario

Le banche e le assicurazioni utilizzano già AI per:

  • scoring creditizio;
  • valutazione del rischio;
  • prevenzione frodi;
  • profilazione clienti.

Qui il rischio riguarda:

  • esclusioni arbitrarie;
  • discriminazioni;
  • errori decisionali automatizzati.

4. AI nella giustizia e sicurezza

Sistemi che influenzano:

  • attività investigative;
  • valutazioni giudiziarie;
  • sicurezza pubblica

vengono considerati estremamente delicati.

5. AI nelle infrastrutture critiche

AI utilizzate in:

  • energia;
  • trasporti;
  • telecomunicazioni;
  • gestione reti

possono generare impatti enormi in caso di errore o attacco cyber.

Gli obblighi per i sistemi ad alto rischio

Se un’azienda utilizza AI ad alto rischio, non può improvvisare.

L’AI Act richiede:

  • valutazione dei rischi;
  • documentazione tecnica;
  • tracciabilità;
  • supervisione umana;
  • qualità dei dati;
  • cybersecurity;
  • monitoraggio continuo;
  • gestione incidenti.

In pratica non basta “comprare il software”, serve una vera governance organizzativa.

La supervisione umana è necessaria

Uno dei pilastri dell’AI Act è la supervisione umana.

L’AI non può diventare un pilota automatico incontrollato.

L’essere umano deve:

  • comprendere gli output;
  • poter intervenire;
  • correggere errori;
  • bloccare decisioni problematiche.

Nel calcio moderno il VAR aiuta l’arbitro, ma la decisione finale resta umana. L’AI Act segue la stessa logica.

Attenzione alla Shadow AI

Molte aziende stanno già utilizzando AI senza sapere se rientrano nei casi ad alto rischio.

Il fenomeno della Shadow AI — uso non autorizzato di strumenti AI da parte dei dipendenti — è uno dei problemi più pericolosi.

Il rischio reale?

  • dati sensibili caricati in chatbot pubblici;
  • decisioni automatizzate senza controllo;
  • assenza totale di tracciabilità.

È come avere giocatori che cambiano modulo tattico durante la partita senza dirlo all’allenatore.

Il ruolo della formazione AI nelle aziende

L’AI Act introduce anche l’obbligo di AI Literacy.

Le aziende devono garantire che chi utilizza AI:

  • conosca rischi e limiti;
  • sappia interpretare gli output;
  • comprenda implicazioni legali ed etiche.

Come capire se la tua AI è ad alto rischio

Le aziende dovrebbero partire da:

  1. inventario dei sistemi AI;
  2. analisi dei casi d’uso;
  3. classificazione del rischio;
  4. DPIA e valutazioni impatto;
  5. verifica GDPR e cybersecurity.

L’AI Act non vieta l’innovazione ma pretende che le aziende utilizzino l’Intelligenza Artificiale con consapevolezza e controllo.

Chi si organizzerà per tempo giocherà in anticipo.
Chi ignorerà il problema rischia invece di trovarsi in campo senza difesa… contro attaccanti velocissimi chiamati sanzioni, incidenti reputazionali e perdita di fiducia.